Como migrar a empresa para um novo provedor de identidade ou locatário

Sobre migrações entre IdPs e locatários

Ao usar Enterprise Managed Users, talvez seja necessário migrar sua empresa para um novo locatário no seu IdP ou para um sistema de gerenciamento de identidades diferente. Por exemplo, pode estar tudo pronto para fazer a migração de um ambiente de teste para o ambiente de produção ou sua empresa pode decidir usar um novo sistema de identidades.

Antes de migrar para uma nova configuração de autenticação e provisionamento, revise os pré-requisitos e as diretrizes de preparação. Quando estiver tudo pronto para migrar, desabilite a autenticação e o provisionamento para sua empresa e, em seguida, reconfigure ambos. Não é possível editar a configuração existente para autenticação e provisionamento.

Pré-requisitos

Quando você começou a usar GitHub Enterprise Cloud, você deve ter optado por criar um empresa com usuários gerenciados. Para obter mais informações, confira "Escolher um tipo de empresa para o GitHub Enterprise Cloud".
Revise e reconheça os requisitos de integração com Enterprise Managed Users a partir de um sistema de gerenciamento de identidades externo. Para simplificar a configuração e o suporte, use um único IdP parceiro para uma integração descomplicada. Como alternativa, você pode configurar a autenticação usando um sistema que adere aos padrões SAML (Security Assertion Markup Language) 2.0 e SCIM (Sistema de Gerenciamento de Usuários entre Domínios) 2.0. Para obter mais informações, confira "Sobre os Enterprise Managed Users".
Você já deve ter configurado a autenticação e o provisionamento do SCIM para a empresa.

Preparar a migração

Para migrar para uma nova configuração para autenticação e provisionamento, você deve primeiro desabilitar a autenticação e o provisionamento da empresa. Antes de desabilitar a configuração existente, leve em conta as seguintes considerações:

O GitHub restaurará os registros SCIM associados às contas de usuário gerenciadas da sua empresa. Antes da migração, determine se os valores do atributo userName SCIM normalizado permanecerão os mesmos para seus dados das contas de usuário gerenciadas no novo ambiente. Para obter mais informações, confira "Considerações de nome de usuário para autenticação externa".
- Se os valores do userName SCIM normalizado permanecerem os mesmos após a migração, você poderá concluir a migração por conta própria.
- Se os valores do userName SCIM normalizado forem alterados após a migração, GitHub precisará ajudar na migração. Para obter mais informações, confira "Como migrar quando os valores do userName SCIM normalizado forem ser alterados".
Não remova nenhum usuário ou grupo do aplicativo para Enterprise Managed Users no sistema de gerenciamento de identidades até que a migração seja concluída.
O GitHub Enterprise Cloud excluirá qualquer personal access tokens ou chaves SSH associadas às contas de usuário gerenciadas da empresa. Planeje uma janela de migração após a reconfiguração, durante a qual você poderá criar e fornecer novas credenciais para quaisquer integrações externas.
O GitHub Enterprise Cloud removerá as conexões entre equipes do GitHub e do IdP e não restabelecerá as conexões após a migração. O GitHub também removerá todos os membros da equipe e desconectará a equipe do IdP. Você pode sofrer interrupções se usar os grupos no sistema de gerenciamento de identidades para gerenciar o acesso a organizações ou licenças. O GitHub recomenda usar a API REST para listar conexões de equipe e associação de grupo antes de migrar e restabelecer conexões posteriormente. Para obter mais informações, confira "Pontos de extremidade de API REST para grupos externos" na documentação da API REST.

Migrar para um novo IdP ou locatário

Conclua as tarefas a seguir para migrar para um novo IdP ou locatário.

Valide os atributos SCIM userName correspondentes.
Faça download de códigos de recuperação de logon único.
Desabilite o provisionamento no IdP atual.
Desabilite a autenticação e o provisionamento da empresa.
Valide a suspensão dos membros da empresa.
Reconfigure a autenticação e o provisionamento.

1. Valide os atributos SCIM `userName` correspondentes

Para uma migração íntegra, verifique se o atributo SCIM userName no novo provedor SCIM corresponde ao atributo no provedor SCIM antigo. Se esses atributos não corresponderem, confira "Como migrar quando os valores SCIM userName normalizados serão alterados".

2. Faça download de códigos de recuperação de logon único

Se você ainda não tiver códigos de recuperação de logon único para sua empresa, baixe os códigos agora. Para obter mais informações, confira "Como fazer o download dos códigos de recuperação de logon único da conta empresarial".

3. Desabilite o provisionamento no IdP atual

No IdP atual, desabilite o provisionamento no aplicativo para Enterprise Managed Users.
- Se você usa o Entra ID, navegue até a guia "Provisionamento" do aplicativo e clique em Parar provisionamento.
- Se você usar o Okta, navegue até a guia "Provisionamento" do aplicativo, clique na guia Integração e clique em Editar. Desmarque Habilitar integração de API.
- Se você usa o PingFederate, navegue até as configurações de canal no aplicativo. Na guia Ativação e Resumo, clique em Ativo ou Inativo para alternar o status de provisionamento e clique em Salvar. Para obter mais informações sobre como gerenciar o provisionamento, confira Como revisar configurações de canal e Gerenciar canais na documentação do PingFederate.
- Se você usar outro sistema de gerenciamento de identidades, consulte a documentação, a equipe de suporte ou outros recursos do sistema.

4. Desabilite a autenticação e o provisionamento da empresa

Use um código de recuperação para entrar em GitHub como o usuário de instalação, cujo nome de usuário é o código abreviado da sua empresa com o sufixo _admin. Para saber mais sobre o usuário de configuração, confira "Introdução aos Enterprise Managed Users".
Desabilite a autenticação e o provisionamento da empresa. Para obter mais informações, confira "Desabilitar a autenticação e o provisionamento em Enterprise Managed Users".
Aguarde até uma hora para que o GitHub Enterprise Cloud restaure os registros SCIM da empresa e suspenda os membros da empresa.

5. Valide a suspensão dos membros da empresa

Depois de desabilitar a autenticação e o provisionamento, o GitHub Enterprise Cloud suspenderá todas as contas de usuário gerenciadas da empresa. Você pode validar a suspensão dos membros da empresa usando a interface do usuário da Web.

Exiba os membros suspensos da empresa. Para obter mais informações, confira "Visualizar pessoas na sua empresa".
Se todos os membros da empresa ainda não estiverem suspensos, aguarde e revise os logs no provedor SCIM.
- Se você usar o Entra ID, a suspensão dos membros pode levar até 40 minutos. Para agilizar o processo para um usuário individual, clique no botão Provisionar sob Demanda na guia "Provisionamento" do aplicativo para Enterprise Managed Users.

6. Reconfigure a autenticação e o provisionamento

Depois de validar a suspensão dos membros, reconfigure a autenticação e o provisionamento.

Configure a autenticação usando SAML ou SSO do OIDC. Para obter mais informações, confira "Configurar a autenticação para usuários empresariais gerenciados".
Configure o provisionamento do SCIM. Para obter mais informações, confira "Configurando o provisionamento do SCIM para Usuários Gerenciados da Empresa".

Para cancelar suspensão das contas de usuário gerenciadas e permitir que elas iniciem a sessão no GitHub Enterprise Cloud, seu provedor SCIM deve reprovisionar as contas.

Como migrar quando os valores do `userName` SCIM normalizado forem ser alterados

Se os valores de userName SCIM normalizado forem ser alterados, GitHub precisará provisionar uma nova conta corporativa para sua migração. Entre em contato com nossa equipe de vendas para obter ajuda.